推特确认，零日漏洞导致540万用户数据泄露

近日，Twitter 已确认最近的540万用户数据泄露事件，是由一个已经修补的零日漏洞导致的。该漏洞允许任何人提交电子邮件地址或电话号码，验证它是否与 Twitter 帐户关联，并检索关联的帐户 ID。通过使用这个ID，威胁行为者抓取该账户的账户信息。为了账户安全，建议用户启用 双因素身份验证。

事件详情

上个月，一个攻击者表示，他们能够利用社交媒体网站上的一个漏洞创建一个包含 540 万个 Twitter 帐户配置文件的列表。这些创建的个人资料包括经过验证的电话号码或电子邮件地址、并抓取公共信息，例如关注者数量、屏幕名称、登录名、位置、个人资料图片 URL 和其他信息。

当时，攻击者以 30,000 美元的价格出售这些数据，并且宣称已经有2个感兴趣的买家。据了解，两个不同的威胁参与者以低于原始售价的价格购买了这些数据，并且这些数据可能会在未来免费发布。

目前，推特已经确认，12 月威胁行为者使用的漏洞和 他们2022 年 1 月报告并修复的漏洞相同，该漏洞曾作为 HackerOne 漏洞赏金计划的一部分，并透露漏洞原因是去年6月的一次代码更新导致。

推特已经开始发送通知提醒受影响的用户，数据泄露是否暴露了他们的电话号码或电子邮件地址。Twitter表示，目前无法确定受违规影响的确切人数。但是，威胁者声称已经利用该漏洞收集了 5,485,636 名 Twitter 用户的数据。

安全建议

虽然在此次违规行为中没有暴露密码，但 Twitter 鼓励用户在其帐户上启用双因素身份验证，以防止未经授权的登录作为安全措施。同时还建议不要在 Twitter 帐户上使用公开的电话号码或电子邮件地址，并且尽可能保持匿名身份。

此外，Twitter提醒用户：由于两个不同的威胁参与者已经购买了这些数据，因此用户要注意利用这些数据窃取Twitter 登录凭据，并进行有针对性地鱼叉式网络钓鱼活动。

什么是鱼叉式网络钓鱼？

鱼叉式网络钓鱼的特征是攻击者不会海量地向外发布钓鱼邮件，他们在钓鱼前会通过OSINT（开源情报）或其他违法途径收集受害者的信息，然后有针对性地向某一企业内指定的具体对象发送恶意邮件。

鱼叉式网络钓鱼的电子邮件往往更加“定制化”，它们使用全名、办公电话号码、甚至工作职能来欺骗受害者，诱骗受害者以为发件人与自己是同行。

如何防止鱼叉式网络钓鱼

1、检查企业组织定向到Google Suite或Dropbox等共享驱动器上的链接是否正确，因为攻击者可能会通过鱼叉式钓鱼攻击将这些链接重定向到恶意网站。

2、鱼叉式钓鱼邮件中常常要求受害者输入用户名和密码来访问文档，进而获取受害者在企业中的登录信息。在日常工作中，员工要注意可疑的邮件，企业中不同部门的同事如果通过邮件向你提出了奇怪要求，或要求你做一些与工作无关的事，就要三思而后行。

数据泄露事件会导致用户的个人信息遭到不法分子的利用，因此个人信息泄露要注意有针对性的网络钓鱼活动，防止攻击者利用这些泄露信息进行网络钓鱼攻击，从而对受害者造成更大损失。